注册
登录
论坛
搜索
插件
默认风格
默认风格_6hOY
D Dark
greenwall
jeans
fashion
私人消息 (0)
公共消息 (0)
论坛任务 (0)
系统消息 (0)
好友消息 (0)
帖子消息 (0)
【3.A.S.T】网络安全爱好者
»
网站建设
» 对抗SQL注入攻击
返回列表
发帖
278835491
发短消息
加为好友
278835491
当前离线
UID
3613
帖子
192
精华
1
积分
413
威望
441
金钱
328
阅读权限
50
在线时间
43 小时
注册时间
2009-1-2
最后登录
2009-5-18
3.A.S.T上尉
帖子
192
积分
413
威望
441
金钱
328
在线时间
43 小时
1
楼
跳转到
»
正序看帖
打印
字体大小:
t
T
发表于 2009-4-5 13:20
|
只看该作者
对抗SQL注入攻击
SQL
,
对抗
,
攻击
国内网站被挂马的常见原因是SQL注入攻击。
那么,除了在Web开发的时候注意以外,有什么有效的工具可以对抗SQL注入攻击?
2008年6月,微软和惠普的安全部门合作发布了三个工具,分别是:
微软SQL注入攻击源码扫描器:Microsoft Source Code Analyzer for SQL Injection (MSCASI)。
这个工具给网站开发人员使用。是一个静态扫描ASP代码的工具,可以查找发现第一类和第二类的SQL注入攻击漏洞。 工具官方下载地址:
http://support.microsoft.com/kb/954476
惠普的 Scrawlr工具。这个工具可以被网站的维护人员使用,是一个黑箱扫描工具,不需要源代码。指定起始URL开始扫描。确定是不能准确定位代码的漏洞(因为是黑箱测试)。
官方工具下载地址:
http://www.communities.hp.com/se ... n-with-scrawlr.aspx
微软的URLScan 3.0 Beta。这个工具可以被网站的维护人员使用。它是一个输入过滤工具。如果你发现网站被SQL注入工具,你可以在一边修补代码漏洞的同时,使用这个攻击在过滤掉恶意的输入。当然,修补代码中的漏洞是完全避免SQL注入攻击的真正解决方案。
官方工具下载地址:
http://blogs.iis.net/wadeh/archi ... 0-beta-release.aspx
SWI的博客上有更进一步的描述。
http://blogs.technet.com/swi/arc ... -sql-injection.aspx
那么,这三个工具是如何配合使用的?下面给出一个例子。
步骤一:网站的维护人员使用Scrawlr扫描网站,检查是否存在SQL注入漏洞
步骤二:发现存在漏洞后,通知开发人员。开发人员使用MSCASI对ASP源码静态扫描来确定代码中什么地方导致的SQL注入攻击漏洞。
步骤三:在开发人员修补漏洞的同时,维护人员可以使用URLScan来过滤可能的恶意输入,以确保网站的安全。
这三个工具的配合使用可以很大程度上减少网站被挂马的可能。说实话,现在被挂马的网站实在是太多了!
from:褚诚云blog
收藏
分享
返回列表
【 新 手 入 门 】
初入江湖
有问必答
软件交流
程序设计
黑客播报
操作系统
Windows专区
Unix 专区
【 技 术 交 流 】
原创专区
QQ技巧
反黑知识
网站建设
教程发布
技术交流
免杀技术
0day发布
专题归类
私服技术
【 论 坛 水 区 】
被黑站点
激情灌水
极品贴图
开心乐园
影音专区
广告专区
【 论 坛 管 理 】
新人报到
论坛管理
勋章申请
[收藏此主题]
[关注此主题的新回复]
[通过 QQ、MSN 分享给朋友]
全国地图
@@@ 加入本站会员 一个月月赚1200+的秘密@@@